Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7

Вид материала

Документы

Содержание Определение плана ответных действий на инцидент Проведение начальной оценки Сообщить об инциденте Снижение ущерба и минимизация риска. Оценка серьезности вмешательства Защита доказательств Уведомление внешних агентств Системы восстановления Составление и организация документации об инциденте Оценка ущерба и затрат, вызванных вторжением Просмотр политик реагирования и обновления

Подобный материал:

• Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
• Введение, 234.92kb.
• План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
• I. введение, 424.45kb.
• Календарно – тематическое планирование, 135.98kb.
• Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
• Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
• Конституции Российской Федерации и федеральных закон, 327.39kb.
• Личная безопасность персонала скорой медицинской помощи, 108.54kb.
• Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.

Определение плана ответных действий на инцидент

Все члены вашей IT среды должны иметь ясное представление о том, что нужно делать при инциденте. В то время как CSIRT будет осуществлять большинство действий в ответ на инцидент, специалисты всех уровней штата должны четко знать, как докладывать инциденты внутри. Конечные пользователи должны докладывать о подозрительной активности скорее IT персоналу непосредственно или через Помощь, нежели прямо CSIRT.

План ответных действий должен быть детально просмотрен всеми членами команды и должен быть легко доступен всему IT штату. Это послужит гарантией того, что когда инцидент действительно будет иметь место, будут предприняты правильные действия.

Ваш план ответных действий должен включать следующие шаги:

• Проведение первичной оценки
  
• Сообщение об инциденте
  
• Минимизация риска
  
• Идентификация типа и степени серьезности повреждений
  
• Защита улик
  
• Извещение внешних инстанций
  
• Восстановление систем
  
• Составление и создание документации инцидента
  
• Оценка нанесенного ущерба и стоимости
  
• Просмотр политик ответных действий и обновления
  

Примечание: Во время инцидента можно использовать схему Job Aid 4: Incident Response Quick Reference Card в качестве справочного пособия, чтобы убедится в том, что все фазы были верно выполнены

Эти шаги не являются строго последовательными. Скорее они имеют место на протяжении всего инцидента. Например, документирование начинается в самом начале и продолжается в течение всего жизненного цикла инцидента, сообщение также имеет место на протяжении всего инцидента.

Другие аспекты процесса будут работать параллельно друг с другом. Например, в процессе начальной оценки у вас появится идея относительно общей природы вторжения. Важно использовать эту информацию, чтобы сдержать ущерб и минимизировать риск, насколько это возможно. Если вы действуете быстро, вы поможете сохранить время, деньги и репутацию своей организации. Однако пока вы не установите в подробностях тип и серьезность нападения, вы не сможете по-настоящему эффективно сдерживать повреждение и минимизировать риск. Если переусердствовать с ответными действиями, можно понести даже еще больший ущерб, чем от первоначального нападения. Параллельно используя эти два шага, вы добьетесь наилучшего компромисса между поспешным и эффективным действием.

Примечание: Очень важно, чтобы вы тщательно протестировали свой процесс реагирования на инцидент до того, как инцидент будет иметь место. Без тщательного тестирования вы не сможете быть уверенными, что меры, имеющиеся в вашем распоряжении, будут действенными в качестве реакции на инцидент.

Проведение начальной оценки

Многие активности могут иметь признаки возможного нападения в вашей организации. Например, поддержка будет казаться похожей на кого-то, предпринимающего одну из форм нападения. В других случаях плохо конфигурированная система может стать причиной появления большого числа фиктивных ответов в вашей системе обнаружения нападений, значительно усложняя процесс опознания подлинных инцидентов.

При начальной оценке следует:

• Предпринять ряд начальных шагов, чтобы определить, имеете ли вы дело с настоящим инцидентом или с фиктивными результатами работы программы.
  
• Составьте общее представление о типе и серьезности нападения. Это должна быть, по крайней мере, информация, достаточная для того, чтобы использовать ее в дальнейшем изучении и чтобы начать процессы сдерживания ущерба и минимизации риска.
  
• Тщательно записывайте ваши действия. Эти записи в дальнейшем будут использоваться для документирования инцидента (актуального или ложного).
  

Примечание: вы хотите избегать фиктивных результатов, насколько это возможно, тогда как всегда лучше работать при фиктивных результатах, чем не смочь работать при настоящем инциденте. Поэтому ваша начальная оценка должна занимать как можно меньше времени, и при этом устранить явные фиктивные результаты.

Сообщить об инциденте

Как только вы заподозрили, что имеет место инцидент безопасности, вам следует быстро сообщить о бреши всему остальному ядру CSIRT. Менеджер инцидента вместе с остальной командой должен быстро определить, с кем, не считая ядра CSIRT, нужно связаться. Это поможет гарантировать должный контроль и координацию инцидента при минимизации распространения вреда. Помните, что ущерб может прийти в какой угодно форме и что статья в газете, описывающая брешь в системе безопасности, может оказаться более разрушительной, чем многие системы вторжения. По этой причине, и для того чтобы защититься от нападающего, только то, что играет какую-то роль в ответной реакции на инцидент, следует сообщать, до тех пор пока все это не станет должным образом контролироваться. Опираясь на ситуацию, ваша команда позднее определит, кому нужно сообщить об инциденте. Это могут быть как отдельные лица, так и вся компания в целом, и внешние пользователи.

Снижение ущерба и минимизация риска.

Предпринимая быстрые действия, чтобы сократить действительные и потенциальные следствия нападения, вы можете заметить различие между незначительными и значительными событиями. Определите серию приоритетов для сдерживания ущерба в вашей системе. Точная ответная реакция будет зависеть от вашей организации и природы нападения, с которым вы столкнулись. Тем не менее, в качестве отправной точки предлагаются следующие приоритеты:

1. 
   Защищать жизни и безопасности людей. Это, конечно же, должно всегда быть вашим главным приоритетом.
   
2. Защищать секретные и чувствительные данные. Это позволит определить приоритеты ответных действий для защиты данных.
   
3. Защищать другие данные, включая патентованные, научные и управленческие данные. Возможно, и другие данные в вашей среде имеют огромную ценность. Вам следует предпринять действия по защите наиболее ценных данных в первую очередь – до того, как вы перейдете к другим, менее полезным данным.
   
4. Защищать жесткие носители и программное обеспечение от нападений. Сюда относится защита от потери и изменения системных файлов, а также от нанесения физического вреда жесткому диску. Результатом повреждения системы может стать дорогой простой.
   
5. Минимизировать разрушение ресурсов компьютера (включая процессы). Продолжение работы системы во время нападения может привести к возникновению в будущем более серьезных проблем. По этой причине минимизация разрушений ресурсов компьютера должна обычно иметь относительно низкий приоритет.
   

Существует ряд мер, с помощью которых можно остановить процесс разрушения и минимизировать угрозу вашей среде. Как минимум вам следует:

• Попытаться не дать злоумышленникам понять, что вы «засекли» их. Это нелегко, так как любая серьезная реакция с вашей стороны может их спугнуть. Например, если происходит экстренная встреча CSIRT или вы запрашиваете немедленную смену всех паролей, любой внутренний взломщик может догадаться, что вы знаете о нападении.
  
• Сравните затраты на вывод из сети поврежденных и связанных с ними систем с риском, который влечет за собой продолжение работы. В подавляющем большинстве случаев вы должны будете немедленно вывести систему из сети. Однако некоторые служебные соглашения могут требовать от вас поддержания системы в рабочем и доступном состоянии, даже под угрозой дальнейших повреждений. В этой ситуации вы можете решить оставить систему в сети, ограничив возможность связи с ней, чтобы собрать дополнительные свидетельства продолжающегося вторжения.
  
• Иногда разрушения и масштаб вторжения могут быть так велики, что вам придется задействовать пункт о возмещении убытков, оговоренный в служебных соглашениях. В любом случае, очень важно, чтобы действия, которые вы предпримете в случае вторжения, обсуждались заранее и излагались в вашем плане реагирования – тогда нападение встретит своевременный отпор.
  
• Определите точки входа, используемые злоумышленником, и примите меры по предотвращению нежелательного доступа в будущем. Эти меры могут подразумевать отключение модемов, добавление к маршрутизатору или брандмауэру входов с контролем доступа или повышение физической безопасности.
  
• Рассмотрите возможность построить систему заново, с новыми жесткими дисками (существующие жесткие диски нужно тогда удалить из системы, но хранить как улики на случай, если вы решите преследовать злоумышленников через суд). Новые локальные пароли ни в коем случае не должны совпадать со старыми. Вы должны также поменять пароли администраторских и сервисных учетных записей.
  

Оценка серьезности вмешательства

Чтобы благополучно восстановить ресурсы после взлома, вам нужно определить, насколько серьезно пострадали ваши системы. От этого зависит, как в дальнейшем противостоять угрозам и минимизировать их, как восстановиться, как скоро и кому сообщить о вторжении и обращаться ли в суд за возмещением убытков.

Вам следует попытаться:

• Определить природу вмешательства (это может отличаться от результатов предыдущих оценок).
  
• Определите цель атаки
  
• Определите намерение злоумышленника. Была ли именно ваша организация целью вмешательства (возможно, взломщик хотел получить какую-либо информацию) или вы оказались мишенью случайно?
  
• Определите, какие системы пострадали.
  
• Определите, какие файлы открывались, и выясните восприимчивость этих файлов.
  

Благодаря этим действиям, вы сможете научить свою среду правильно реагировать. В хорошем плане реагирования на вторжения должны быть намечены специальные процедуры, которые следует провести, как только вы больше узнаете о вторжении. В основном, природа симптомов нападения определит, в каком порядке нужно выполнять процедуры, изложенные в плане. Время решает все, и поэтому процедуры, требующие меньше времени, обычно выполняются прежде более длительных процедур. Чтобы определить серьезность повреждений, вам следует:

• Связаться с другими участниками команды реагирования и сообщить им о том, что вы обнаружили, предложить им проверить ваши результаты, выяснить, известно ли им о других попытках вторжений, и помочь определить, не является ли данный инцидент ошибочным результатом научного исследования.
  
• Установить, прилагаются ли к сети какие-либо неавторизованные устройства, а также – имеются ли какие-либо признаки неавторизованного доступа посредством подрыва средств управления физической безопасностью.
  
• Проверить ключевые группы (доменных администраторов, администраторов и т.д.) на предмет неавторизованных входов.
  
• Провести оценку безопасности программного обеспечения, находящегося в эксплуатации. Утилиты взлома часто обнаруживаются в скомпрометированных системах во время сбора улик.
  
• Искать неавторизованные процессы или приложения, работающие в настоящий момент или готовые к запуску, которые использовали бы папки запуска или входы реестров.
  
• Искать пробелы в системных журналах или факты отсутствия системных журналов.
  
• Просмотреть системные журналы системы обнаружения вторжений на предмет наличия признаков вмешательства и выяснить, какие системы могли оказаться поврежденными, каковы были методы, время и длительность нападения, а также оценить вероятный ущерб.
  
• Проверить другие журналы событий на предмет необычных подключений, ошибок аудита безопасности, необычных успешных событий аудита безопасности, ошибочных попыток входа, попыток регистрации в учетных записях «по умолчанию», наличия активности в нерабочие часы, изменений в файлах, директориях и разрешениях на совместное использование ресурсов, а также повышенных или измененных привилегий пользователей.
  
• Сравнить системы с данными прошлых проверок целостности файлов и системы. Это позволит вам идентифицировать дополнения, удаления, модификации, а также изменения в правах доступа и управления файловой системой и реестрами. Можно сэкономить массу времени, реагируя на вмешательства, если точно выяснить, что именно повреждено (скомпрометировано) и какие области нужно восстановить.
  
• Искать уязвимые данные – такие как номера кредитных карт или данные сотрудников или клиентов – которые перемещались или скрывались для будущей обработки или модификации. Системы могут также нуждаться в проверке на наличие неделовых данных, нелегальных копий программ, электронных сообщений или других записей, которые могут помочь в ваших поисках. Если при подобном исследовании системы возникает опасность вмешательства в чью-либо личную жизнь или иных нарушений, вам следует вначале проконсультироваться с юридической службой.
  
• Сопоставить работу систем, попавших под подозрение, с их заданным уровнем работы. Это, конечно, подразумевает, что образцы заданного уровня имеются и правильно обновляются. Для получения дополнительной информации о создании таких образцов смотрите Chapter 27 of the Windows 2000 Professional Resource Kit (Microsoft Press; ISBN: 1-57231- 808-2), “Overview of Performance Monitoring.”
  

Определяя, какие системы и как были скомпрометированы, вы будете в основном сравнивать ваши системы с эталонами таких систем, созданными до того, как система была скомпрометирована. Уверенность, что для такого сравнения достаточной является копия системы, сделанная незадолго до инцидента, может поставить вас в трудное положение, если копия поставляется системой, которая уже подвергалась нападению.

Примечание: Такие инструменты, как EventCombMT, DumpEL и Microsoft Operations Manager, могут помочь вам определить объем ущерба, причиненного системе. Системы обнаружения вторжений третьих фирм выдают заблаговременные предупреждения о нападении, а другие утилиты показывают изменения файлов в ваших системах.

Защита доказательств

Во многих случаях, если ваша среда подвергается преднамеренному нападению, вы можете подать в суд на злоумышленников. Если вы собираетесь это сделать, вам понадобится собрать улики. Чрезвычайно важно как можно быстрее сделать копии скомпрометированных систем, прежде чем предпринимать какие-либо действия, могущие нарушить целостность данных на исходных носителях. Как минимум одна из этих копий должна храниться на носителе информации, не подлежащем перезаписи, таком как CD-R или DVD-R. Эта копия должна использоваться только для обвинения нарушителя и храниться в недоступном месте, пока она не понадобится. Другую копию можно использовать для восстановления данных. Доступ к этим копиям возможен только для целей правозащиты, поэтому они должны находиться в физически защищенном месте. Вам нужно будет также документировать информацию об этих копиях, в частности, о том, кто и когда их сделал, как они хранятся, и кто имел к ним доступ.

Как только копии созданы, вы должны удалить из системы старые жесткие диски и также хранить их в безопасном месте. Они могут служить уликами в случае судебного расследования. Для восстановления работы системы следует использовать новые жесткие диски. В отдельных случаях польза от сохранения данных может быть не сопоставимой с затратами на отсрочку реагирования и восстановления системы. Все затраты и выгоды сохранения данных следует сопоставить с затратами и выгодами от быстрого возвращения системы в нормальный рабочий режим, рассматривая каждое событие в отдельности.

Для особенно крупных систем такое подробное копирование всех скомпрометированных систем может оказаться невыполнимым. Тогда нужно скопировать все системные журналы и выборочно – поврежденные части системы.

Если это возможно, создайте также копию состояния системы. Могут пройти месяцы и годы, пока начнется судебное расследование, поэтому важно сохранить как можно больше подробностей инцидента на будущее.

Часто самым трудным аспектом в процессе расследования компьютерных преступлений является сбор доказательств и подача их в форме, приемлемой для данной системы правосудия. Тем не менее, самый важный компонент процесса расследования и источник надежных доказательств – это полная и подробная документация, содержащая сведения о том, как была организована работа систем, кто и когда ими управлял. Ставьте дату и подпись на каждой странице документации. Как только появятся рабочие, проверенные резервные копии, вы можете почистить зараженные системы и перестроить их. Именно резервные копии дают решающие, безупречные доказательства, необходимые для расследования. Для восстановления данных используйте копию, хранящуюся отдельно от той, которая предназначена для суда.

Уведомление внешних агентств

Когда вторжение остановлено, а данные сохранены для возможного расследования, вам нужно уведомить об этом соответствующие внешние службы. Среди этих служб могут быть местные и национальные правоохранительные органы, агентства безопасности и специалисты по компьютерным вирусам. Внешние агентства могут оказать вам техническую поддержку, предложить более быстрые решения и предоставить информацию о похожих инцидентах, чтобы помочь вам быстро восстановить работу и предотвратить подобные неприятности в будущем.

Иногда, если речь идет о некоторых отраслях и отдельных уязвимых местах безопасности, необходимо оповестить клиентов или широкую общественность, особенно в тех случаях, когда клиенты могут напрямую пострадать от данного вторжения.

Если это событие нанесло заметный материальный ущерб, нужно уведомить правоохранительные органы.

Если организация или инцидент имеет особый статус, событие может привлечь внимание средств массовой информации. Освещение в прессе проблем безопасности всегда нежелательно – тем не менее, в отдельных случаях стоит предпринять упреждающие действия и по своей инициативе сообщить об инциденте. Этот шаг может быть неизбежным и даже выгодным для компании. Как минимум, процедура реагирования на нападение требует ясно обозначить, кто уполномочен общаться с представителями средств массовой информации. Обычно это сотрудники отдела по связям с общественностью вашей компании. Вам не следует пытаться отрицать, что инцидент имел место, т.к. такая позиция подорвет вашу репутацию в значительно большей степени, чем явное признание случившегося, сделанное по собственной инициативе. Это вовсе не означает, что нужно сообщать о каждом подобном вторжении, независимо от его характера и серьезности. Следует обращаться в соответствующие службы в зависимости от ситуации.

Системы восстановления

То, как вы восстанавливаете систему, обычно зависит от размера бреши в защите. Вам нужно определить, способны ли вы восстановить существующую систему, оставив нетронутыми как можно больше ее частей, или же необходимо полностью перестроить всю систему.

Восстановление данных предполагает, само собой, что у вас есть резервные копии, созданные до инцидента. Программы обеспечения целостности файлов помогут вам точно выявить, когда появилось первое повреждение. Если программа подает сигнал тревоги, указывая на измененный файл, то вы знаете, что резервная копия системы, созданная непосредственно перед сигналом тревоги, хорошая и должна быть сохранена для последующей перестройки скомпрометированной системы.

Но возможно, что поражение данных началось за много месяцев до его обнаружения. Поэтому очень важно, чтобы в рамках процесса реагирования на инцидент вы определили его длительность. В этом вам помогут программы обеспечения целостности файлов и системы обнаружения вторжений. В отдельных случаях последняя и даже несколько предыдущих резервных копий могут оказаться уже поврежденными, поэтому рекомендуется регулярно архивировать данные и хранить их в безопасном месте вне системы.

Составление и организация документации об инциденте

Группа CSIRT должна подробно задокументировать все процессы. Это подразумевает описание бреши и подробности любого предпринимаемого действия (сведения о том, кто это сделал, когда и из каких соображений). В процессе реагирования должны быть названы все сотрудники, причастные к этому и имеющие доступ. Документацию следует организовать в хронологическом порядке, проверить на полноту, подписать и просмотреть вместе с руководителями и представителями закона. Вам также нужно охранять улики, собранные на этапе защиты доказательств. Помните, что злоумышленником может оказаться ваш штатный, контрактный или временный сотрудник, или же кто-нибудь еще внутри организации. Без тщательно составленной, подробной документации выявить внутреннего вредителя может быть очень трудно. Правильная документация также дает вам самый лучший шанс добиться его осуждения.

Оценка ущерба и затрат, вызванных вторжением

Определяя ущерб, нанесенный вашей организации, имейте в виду прямые и косвенные затраты. Это подразумевает:

• Затраты из-за потери конкурентных преимуществ в результате утечки секретной или патентованной информации.
  
• Судебные издержки
  
• Затраты на обследование, анализ нанесенного ущерба, переустановку программ и восстановление данных
  
• Затраты из-за вынужденного простоя системы (потеря производительности сотрудников, потерянные продажи, замена оборудования, программного обеспечения и т.д.)
  
• Затраты на ремонт и обновление поврежденных или неэффективных средств физической защиты (стен, замков, ограждений и т.д.)
  
• Другие виды ущерба, такие как потеря репутации или доверия со стороны клиентов
  

Просмотр политик реагирования и обновления

По завершении этапов документации и восстановления вам нужно провести тщательный обзор всего процесса. Вместе с коллективом определите, какие действия были успешными, а какие – ошибочными. В отдельных случаях вы обнаружите, что нужно модифицировать процессы, чтобы в будущем лучше справляться с вторжениями.